Bezpecnost Linuxu pomoci RO partisny

[Oto Buchta]

Dne Po, 24 květen 1999 Pavel Kankovsky napsal(a):
>On Mon, 24 May 1999, Oto Buchta wrote:
>
>> Potrebuju postavit hodne bezpecnou masinu, na kterou nebudu mit moc casu na
>> spravu a tak jsem uvazoval, jak by se dal RedHat nebo Debian rozjet na stroji,
>> kde by vetsina veci byla RO. Predstavoval bych si to asi takto:
>
>Nechci rypat, ale "mount -o remount,rw /..." neni zrovna narocna akce. :)
>
>RO mount (pokud neni podporen nejakym dalsim opatrenim, napr. fyzickym) u
>lokalnich fs ma smysl spis jako "airbag" proti neumyslne modifikaci. Jako
>zabezpecovaci opatreni je to dobre akorat proti dost hloupym utocnikum (ne

Mam tomu tedy rozumet tak, ze se jedna pouze o bezpecnost cez obskurnost?
Dobre, ale i to je lepsi nez nic.

V tom pripade je ale lepsi metoda 
rw / a primontovana partition ro nez primontovany root jako ro a namontovane
/home a /var jako rw, je to tak?
Tak bude muset alespon projit /etc/mtab a vsechno odtud premountovat "rucne"
jedno op druhem. No ono je to pouze prekonani dalsi zabrany porovnatelne s
tim, ze nenechate klic zvenci v zamku, ale povesite ho zvenku na hrebik vedle
dveri. Ale je to dalsi vec, kterou musi utocnik prekonat.

S timto me napada dalsi vec. Dalo by se nejak jednoduse presmerovat mountovani?
Treba ze bych vytvoril jeden adresar "ro namontovany" a pri pokusu jej
namontovat rw bych dostal na SMS mail "pozor! Utok!" a dotycny clovek by byl
odstrelen? Napada mne jednoduche prejmenovani /bin/mount na /bin/mount.orig
a vytvoreni shell-scriptu /bin/mount, ktery si otestuje, zda jede z parametru
neni kyzeny adresar a v tom pripade zakrici, jinak spusti mount s parametry z
argv. Nebo je to nesmysl ci to lze elegantneji?

Oto Buchta